Journal Usurpation d'identité avec des cartes de voeux

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
10
2
jan.
2013

Quand même, parfois, je me demande comment font certains sites pour être aussi stupides. Et surtout, je me demande comment ils arrivent à survivre malgré cela.

Donc, voici la petite histoire qui m'est arrivée aujourd'hui. Je consulte ma boîte mail, et là, je vois ma sœur qui me remercie pour ma carte de vœux "virtuelle" que je viens de lui envoyer. Rien d'étonnant, après tout, c'est la saison. Sauf que je ne lui ai jamais envoyé cette carte de vœux…

Après avoir pris connaissance du contenu de la carte, je finis par comprendre qu'en fait il s'agit d'une carte de vœux cybercartes.com envoyée par mes parents à destination de leur fils et de leur fille. Mais ils se sont trompés en remplissant les champs des mails, et ils ont mis mon mail en tant qu'expéditeur, au lieu de destinataire.

Et là, je me dis que non, quand même, un site un minimum connu ne peut pas laisser les gens envoyer aussi facilement des cartes de vœux sans vérifier que l'expéditeur possède bien l'adresse mail de soi-disant expédition, qu'il faut au minimum un clic de validation depuis la boîte mail d'expédition.

Je fais un petit test. Ah ben non, rien, aucune validation. On peut envoyer une carte de vœux virtuelle à n'importe qui en mettant comme adresse d'expéditeur n'importe qui. Les lecteurs de ce journal savent faire la différence entre un message de bonne année venant directement de machin@bidule et un mail venant de xxx.com indiquant que machin@bidule vous envoie un message de bonne année. Mais combien de gens sont capables de faire la nuance ? Dans la grande majorité des cas (comme pour ma sœur), le destinataire croira que ça vient vraiment de l'expéditeur. Bref, une usurpation d'identité très simple à mettre en œuvre à travers un site connu.

En plus, on peut inventer des messages machiavéliques, plus difficiles à nier par le faux expéditeur, comme envoyer à Fernande, de la part de son petit copain Léon, une carte de vœux "Je t'aime, Raymonde".

Bon, voilà, c'était pour dénoncer ce genre de sites qui ne prennent pas le temps d'implémenter un processus de validation de la soi-disant adresse expéditeur. Et aussi pour donner des idées de farce aux lutins qui hantent ce site.

  • # Un peu comme une carte postale en fait

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    non ?

    PS: bonne année toussa toussa

    • [^] # Re: Un peu comme une carte postale en fait

      Posté par  (site web personnel) . Évalué à -4.

      Oui, mais non.

      Debug the Web together.

      • [^] # Re: Un peu comme une carte postale en fait

        Posté par  (site web personnel) . Évalué à 10.

        Comme une lettre normale plutôt, sur laquelle on peut :

        • mettre ce qu'on veut dans le champ d'expéditeur, qui est purement informatif à moins de vouloir une réponse ;
        • mettre ce qu'on veut dans le champ d'expéditeur d'enveloppe, qui n'est utile que si on compte traiter les retours de type NPAI.

        Sur une carte postale, il n'y a pas d'enveloppe, ni de champ d'expéditeur à vrai dire, seulement une signature…

        • [^] # Re: Un peu comme une carte postale en fait

          Posté par  (site web personnel) . Évalué à 1.

          Oui, tout à fait. A ceci près que dans le cas des cartes postales réelles, il y a quand même le cachet de la poste indiquant la date et le lieu d'envoi, et l'écriture manuscrite qui n'est pas si facile que ça à imiter. Du coup, ça demande un effort assez important pour faire une fausse lettre. Là, c'est tellement simple que mes parents usurpent mon identité par mégarde :-)

          • [^] # Re: Un peu comme une carte postale en fait

            Posté par  (site web personnel) . Évalué à 6.

            Beaucoup de gens regardent le cachet de la Poste ? Ça tombe bien, il y a la même chose avec le courrier électronique, ce sont les en-têtes Received.

            • [^] # Re: Un peu comme une carte postale en fait

              Posté par  (site web personnel) . Évalué à 2.

              Le cachet de la poste est visible.

              Les champs d'en-tête Received sont masqués dans 99,99999% des cas, il faut connaître leur existence pour rechercher la façon de les afficher.

              Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

              • [^] # Re: Un peu comme une carte postale en fait

                Posté par  (site web personnel) . Évalué à 4.

                Le cachet de la Poste est souvent illisible, et il faut penser à le regarder. Combien de gens savent qu'il existe et le regardent effectivement avant de jeter l'enveloppe ? Un champ Received sur un message, il suffit d'indiquer à quelqu'un comment le regarder et il pourra le faire.

                L'important n'est pas ce que les gens font mais ce qu'ils peuvent faire. Pour la liberté d'expression par exemple, l'important n'est pas que les gens disent n'importe quoi mais qu'ils puissent le faire. Autre exemple avec les DRM : le problème n'est pas que les vendeurs les mettent en œuvre de façon nuisible pour leurs clients (en supprimant des contenus à distance par exemple) mais qu'ils puissent le faire.

  • # SPF/DKIM et ADSP ou DMARC

    Posté par  (site web personnel) . Évalué à 10.

    C'est un cas d'usurpation d'adresse électronique en somme. Ça tombe bien, on a développé des systèmes pour lutter contre cela. Tu peux, au choix :

    • publier une politique SPF ;
    • publier une clef publique DKIM et configurer ton serveur pour signer les messages sortants.

    Déjà, ça permettra que les destinataires, ou plutôt les serveurs des destinataires, puissent identifier tes messages comme étant certainement valides. Ensuite, tu peux même leur indiquer ce qu'ils doivent faire avec les messages non autorisés par SPF ou non signés par DKIM, en publiant :

    • une politique DKIM ADSP ;
    • une politique DMARC, qui a l'avantage d'être valable pour SPF ou DKIM.

    En pratique, DKIM ADSP permet de demander de choses comme : jetez tous les messages qui semblent provenir de chez moi mais ne sont pas signés par DKIM. Et DMARC permet de demander des choses comme : jetez tous les messages qui semblent provenir de chez moi mais ne sont pas authentifiés par SPF ou DKIM.

    • [^] # Re: SPF/DKIM et ADSP ou DMARC

      Posté par  . Évalué à 10. Dernière modification le 02 janvier 2013 à 17:52.

      Tout ça me paraît très simple et correspond bien au fait que le journal relate le fait que Mme Michu aura du mal à faire la différence entre une usurpation ou non et aussi à ne pas se faire usurper.

      Je proposerai donc aux personnes de ma famille de mettre en place « une politique DMARC, qui a l'avantage d'être valable pour SPF ou DKIM »

      • [^] # Re: SPF/DKIM et ADSP ou DMARC

        Posté par  (site web personnel) . Évalué à 3.

        Je proposerai donc aux personnes de ma famille de mettre en place « une politique DMARC, qui a l'avantage d'être valable pour SPF ou DKIM »

        C'est le boulot de l'administrateur du serveur et du nom de domaine, pas celui des utilisateurs.

      • [^] # Re: SPF/DKIM et ADSP ou DMARC

        Posté par  (site web personnel) . Évalué à 4. Dernière modification le 02 janvier 2013 à 18:13.

        Tout ça me paraît très simple et correspond bien au fait que le journal relate le fait que Mme Michu aura du mal à faire la différence entre une usurpation ou non et aussi à ne pas se faire usurper.

        Une fois SPF ou DKIM et DMARC en place, elle y arrivera très bien en effet : les messages usurpés, elle ne les recevra plus du tout. Enfin, si son fournisseur a mis en place DMARC côté réception.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 2.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: SPF/DKIM et ADSP ou DMARC

        Posté par  (site web personnel) . Évalué à 4.

        Pour OpenDKIM : http://wiki.auto-hebergement.fr/services/dkim .

        Pour OpenDMARC : ça n'existe pas à ma connaissance. Côté expéditeur, DMARC ne demande aucun logiciel, seulement la publication d'un enregistrement DNS pour indiquer sa politique. Côté réception, ça demanderait un milter qui passerait après un milter de vérification SPF et un milter de vérification DKIM. Ou qui ferait cela en interne.

        • [^] # Commentaire supprimé

          Posté par  . Évalué à 1.

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: SPF/DKIM et ADSP ou DMARC

            Posté par  (site web personnel) . Évalué à 3.

            Pour opendmarc c'est parce que j'ai vu le paquet dans Debian Sid

            Ah, excellent, j'ignorais que cela avait déjà été mis en œuvre. Ce milter sert donc à mettre en place DMARC côté réception, pour appliquer les politiques publiées par les administrateurs des noms de domaines des messages que l'on reçoit.

            et il y a un site « officiel » : http://dmarc.org/overview.html

            Site officiel de la future norme DMARC, pas de sa mise en œuvre libre OpenDMARC, hein.

    • [^] # Re: SPF/DKIM et ADSP ou DMARC

      Posté par  . Évalué à 2.

      Ça veux dire aussi que tu paie ta carte pour qu'elle parte dans un /dev/null quelconque…

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # sitepourri -> pourriel

    Posté par  . Évalué à 10.

    C'est surtout votre mail qui les intéresse, peu importe l'identité.
    Je te laisse regarder le nombre de merdouilles que toi et tes parents allez recevoir dans les jours à venir.

  • # Un peu comme un email en fait

    Posté par  (site web personnel) . Évalué à 6.

    SPF et DKIM étant encore peu vérifié, c'est un peu comme un email où l'on peut déjà mettre l'expéditeur que l'on veut, non ? Vouloir masquer cela c'est une sorte de sécurité par l'obscurité… surtout que dans ce cas il ne s'agit pas de forger l'adresse expéditrice mais simplement d'indiquer l'expéditeur déclaré dans les entêtes et le corps du message.

    D'autres systèmes permettent techniquement de déclarer l'expéditeurs que l'on veut : les lettres postales (comme souligné dans un commentaire précédent), les SMS ou même le téléphone. Ça me semble + embêtant de pouvoir téléphoner chez Mme Michu en se faisant passer pour le 17 que de pouvoir lui envoyer une carte de vœux qui indique qu'elle vient de la part d'un autre !

    • [^] # Re: Un peu comme un email en fait

      Posté par  . Évalué à 2.

      Vouloir masquer cela c'est une sorte de sécurité par l'obscurité…

      Ce n'est pas du tout de la sécurité par l'obsucurité. Il demande juste une vérification pour que les gens ne remplissent pas les mauvaises adresse par erreur.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # hm???

    Posté par  . Évalué à 0.

    comme les couriels et le courier postal ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.